本文介绍了首次大规模分析 Telegram 上 339 个网络犯罪活动频道（CACs）的研究。这些频道拥有超过 2380 万订阅者，传播包括泄露凭证、盗版软件和媒体、社交媒体操纵工具以及恶意软件、漏洞利用工具包、社会工程诈骗等黑帽黑客资源。为评估这些频道，作者开发了 DarkGram——一个基于 BERT 的框架，能够自动识别 CACs 中的恶意帖子，准确率达 96%。利用 DarkGram，他们对 2024 年 2 月至 5 月期间这些频道分享的 53,605 条帖子进行了定量分析，揭示了内容的几个关键特征：虽然大部分内容免费分发，但频道管理员常采用促销和赠品策略来吸引用户并推动高级网络犯罪内容的销售；有趣的是，这些频道有时对其订阅者构成重大风险，28.1% 的分享链接包含钓鱼攻击，38% 的可执行文件捆绑了恶意软件。分析订阅者如何消费和积极回应这些共享内容，描绘了网络犯罪内容大规模持续传播的危险图景。研究还发现，CACs 可通过快速迁移到新频道并最小化订阅者损失来逃避审查或平台封禁，突显了该生态系统的韧性。为应对此问题，作者利用 DarkGram 检测新兴频道，并向 Telegram 和受影响组织报告恶意内容，三个月内促使 196 个频道被关闭。研究结果强调了迫切需要协调努力应对这些频道日益增长的威胁。为助力此工作，作者开源了数据集和 DarkGram 框架。本文适合安全运营团队、威胁情报分析师、平台安全工程师以及研究网络犯罪生态的学者阅读。

本文提出 TeleHunt，一个用于系统性评估 Telegram 上网络犯罪社区发现策略有效性的框架与工具。研究背景是 Telegram 已成为网络犯罪活动的重要平台，但如何高效、可靠地定位这些隐蔽社区仍缺乏系统研究。TeleHunt 采用引用驱动的雪球采样策略，结合消息级分类、上下文过滤和市场细分标签，能够从开源或暗网种子出发，自动扩展探索。作者通过实验系统比较了种子来源、指针类型（如邀请链接、用户名提及）和探索策略对发现结果在效率、可达性和重新发现三个维度的影响。主要贡献包括：(i) 一个模块化的网络犯罪内容发现流水线；(ii) 首次对 Telegram 发现策略的系统比较，并实证刻画了不同市场细分（如数据泄露、毒品交易）的可达性；(iii) 一个包含 172M+ 消息、覆盖 6,022 个 Telegram 社区的大规模标注数据集。该研究为威胁情报分析人员提供了方法论指导和可用工具，有助于提升对 Telegram 生态中网络犯罪活动的监测与溯源能力。